Estoy trabajando en una función de carga de archivos en nuestra aplicación. Los usuarios también pueden descargar los archivos cargados desde la aplicación. Para evitar la carga de archivos maliciosos, estoy comprobando los bytes mágicos del archivo para encontrar el tipo de archivo cargado y verificar su parte de mi lista blanca (doc "," pdf ", xls", "xlsx", "docx", "png" "jpeg", "ppt", "pptx", "msg", "jpg", "gif").
Estoy bien hasta ahora y ahora se me ocurrió un escenario en el que el usuario puede cargar un archivo, por ejemplo,
- MS Word que puede tener un archivo ejecutable incrustado o cualquier archivo malicioso.
- elemento de mensaje de Outlook que puede tener un archivo adjunto malicioso.
¿Son estos escenarios casos válidos de ataques a la carga de archivos sin restricciones? Si es así, ¿cómo manejar estos? Aprecio cualquier idea sobre esto.